WordFence的安全专家发现,一款下载量高达30万次的WordPress插件Captcha暗藏了一个后门,允许潜在攻击者获得对WordPress网站的管理访问权限,而不需要任何身份验证。
Captcha是一款实用的验证码插件,可用于加强WordPress网站后台的登录安全,最初由插件开发公司BestWebSoft拥有及维护。
在今年9月5日,BestWebSoft公司宣布了对于Captcha所有权的转让,但在当时并未提及这个接手公司的相关信息。仅在三个月之后,Captcha的新东家就发布了4.3.7版本,其中便包含了恶意代码。
安全专家发现,恶意代码会触发一个自动更新过程。首先,会连接到simplywordpress.net域名下载一个插件更新包(ZIP文件)。然后,更新包会自动执行并安装以覆盖WordPress网站原本运行的Captcha插件。
这个ZIP文件中就包含了一个叫名为“plugin-update.php”的后门文件,它会利用用户 ID (WordPress首次安装时创建的默认管理员用户)来创建会话,设置认证 cookie,随后删除自己。由于后门安装代码并没有经过认证,这意味着任何人都可以触发它。
WordFence在调查后发现,Simplywordpress.net是通过过电子邮箱地址scwellington@hotmail.co.uk注册的,注册人名为“Stacy Wellington”。通过使用反向whois查找,WordFence发现这个用户还注册了大量的其他域名。
回到Simplywordpress.net这个域名,除了Captcha之外,它还托管了另外5款插件可供下载:Covert me Popup、Death To Comments、Human Captcha、Smart Recaptcha和Social Exchange。
毫无例外,这5款插件都包含有与Captcha相同的后门安装代码。此外,如果使用“site:simplywordpress.net”在谷歌进行搜索,还会发现该域名还提供了更多的插件下载。
目前,WordPress插件团队已经将其从官方WordPress插件库中删除,并为受影响的用户提供了安全版本(Captcha 4.4.5)。WordFence也创建了三条防火墙来保护用户的网站免受Captcha的影响,这些规则能够阻止Captcha执行后门安装代码以及其他5款插件通过Simplywordpress.net下载。
此外,WordFence已经与WordPress插件团队合作,对Captcha 4.4.5之前的版本进行修复。